「うちはまだ大丈夫」――そう思っていた国内企業が、突然リークサイトに社名を晒された。ランサムウェアグループの活動は2025年に入っても勢いを落とさず、むしろアジア圏への展開を加速させています。
最近、セキュリティ系メディアで名前が増えているグループが2つあります。「Qilin(チリン)」と「RansomHouse」。どちらも日本企業への被害実績が確認されており、情シス担当者なら手口を把握しておく必要があります。
この記事では、QilinとRansomHouseそれぞれの攻撃手法・組織構造・標的の傾向を整理し、情シス1人体制でも今日から実践できる防御策をまとめました。「名前は聞いたことがあるが、実態がよくわからない」という方にこそ読んでいただきたい内容です。
脅威アクターとは?ランサムウェアグループとどう違うのか
まず用語の整理から始めます。「脅威アクター(Threat Actor)」とは、サイバー攻撃を実行する主体の総称です。個人のハッカーから、国家が関与する組織、犯罪グループまで幅広く含みます。
ランサムウェアグループはその中でも「金銭目的で身代金攻撃を行う犯罪組織」に分類されます。近年の特徴として挙げられるのが「RaaS(Ransomware as a Service)」モデルの普及です。
RaaSとは、ランサムウェアの開発者がツールやインフラをサービスとして提供し、実際に攻撃を実行する「アフィリエイト(実行犯)」に使わせるビジネスモデルです。開発者は収益の20〜30%を受け取り、実行犯は高度な技術がなくても高品質な攻撃ツールを使えます。この構造が攻撃者の「裾野」を広げ、被害件数の増加につながっています。
・攻撃の分業化: 初期侵入の専門家(IAB=Initial Access Broker)・ランサムウェア開発者・実行犯が役割を分担
・二重恐喝の標準化: データの暗号化に加え、盗んだデータを公開する「リークサイト」の運営が当たり前に
・アフィリエイト管理の高度化: 実行犯を選別して採用するグループも増え、組織の質が向上
Qilin(チリン)の実態と日本への影響
Qilinの成り立ちと名称の由来
Qilinは2022年中頃に活動を開始したランサムウェアグループです。当初は「Agenda(アジェンダ)」という名称で活動しており、リブランドの過程でQilinという名に変わりました。「Qilin(麒麟)」は中国語の神話上の生き物の名称で、なぜこの名を使っているかは明らかになっていません。
Qilinが狙うシステムの種類
Qilinの技術的な特徴として目立つのが、対応プラットフォームの広さです。
・Linux系: CentOS、Debian、RHEL、Ubuntu
・仮想化基盤: VMware ESXi(企業のサーバー仮想化基盤として広く普及)
・Windows系: Windows 10/11、Windows Server各種
特にVMware ESXiを標的にする点は重大です。中小企業でも社内サーバーの仮想化にESXiを使っているケースは多く、ESXiホストが暗号化されると仮想マシン上で動くすべての業務システムが一度に停止します。ランサムウェア被害として最悪のシナリオの一つです。
Qilinが使う攻撃ツール
Qilinの侵入・展開フェーズでは以下のツールが確認されています。
・7-Zip: 窃取したデータの圧縮・梱包に悪用
・ブルートフォースツール: VPNやRDPの認証情報を力ずくで試すツール
・エクスプロイトキット: 既知脆弱性を自動的に悪用するツールセット
・Webシェル: Webサーバーに設置し、バックドアとして使い続けるスクリプト
二重恐喝と「弁護士コンタクト機能」
Qilinが2025年中頃に追加した機能として注目されているのが、アフィリエイトのポータルに設けられた「弁護士コンタクト機能」です。
被害企業が支払い交渉のために弁護士を立てることは珍しくありません。この機能は被害企業の弁護士に直接連絡できる仕組みで、技術的な攻撃手段ではなく「心理的・法的圧力」をかけるための機能です。身代金交渉の「プロ化」が進んでいることを示しています。
日本企業の被害状況
Qilinのリークサイトに日本組織の名前が最初に登場したのは2023年4月です。その後も国内被害の報告が続いており、業種別では製造業が全体の約半数を占めるとされています。製造業の次に多いのが小売業です。
製造業が狙われやすい背景には、「OT(運用技術)ネットワークとITネットワークの分離が不十分な企業が多い」「生産停止による損失が甚大なため身代金を支払う圧力が大きい」という2点があります。
RansomHouseの実態と日本への影響
RansomHouseとはどんなグループか
RansomHouseは2023年から本格的な活動を開始したグループです。活動拠点はロシアまたは旧ソビエト連邦圏と推測されていますが、公式な帰属は確認されていません。
初期は限られたメンバーのみで構成された非公開グループとして運営されていましたが、2024〜2025年にかけてハイブリッド型RaaSモデルへと移行しました。「選別されたアフィリエイト」のみを採用するという選別主義が特徴で、実行の質を維持しながら攻撃範囲を拡大しています。
RansomHouseの標的セクターと手口
RansomHouseが好む標的は「高価値セクター」です。具体的にはヘルスケア・製造・重要インフラが中心です。これらのセクターは「業務停止による影響が大きく、身代金を払わざるを得ない状況に追い込みやすい」という共通点があります。
攻撃手口として確認されているものをまとめます。
1. 既知脆弱性の悪用
RansomHouseが利用する脆弱性として報告されているのが、Citrix NetScalerやPalo Alto GlobalProtectといったリモートアクセス製品の脆弱性です。これらは企業のVPNや認証基盤として使われており、侵害されると社内ネットワークへの足がかりを与えます。
パッチが公開されていても適用が遅れている場合、攻撃者はその窓を使います。「パッチは出ているが優先度が低い」という状況がどれだけ危険かを示しています。
2. Cobalt StrikeとMimikatzの活用
侵入後のラテラルムーブメント(横移動)には、ペネトレーションテスト用ツールとして広く知られる「Cobalt Strike(コバルトストライク)」が使われています。本来は正規のセキュリティ検証ツールですが、悪用されるケースが多発しているツールです。
「Mimikatz(ミミカッツ)」は認証情報(パスワードハッシュ)をメモリから抽出するツールです。Windowsの認証情報を窃取し、ドメイン管理者権限の奪取に使われます。
3. Linux・ESXiを同時に狙う
RansomHouseもQilin同様、Linuxサーバーとヴイエムウェア(VMware)ESXiを標的にします。Windowsクライアントだけでなく、企業インフラの中枢であるLinuxサーバーや仮想化基盤を同時に暗号化できるグループは「被害の影響度」が桁違いです。
日本組織への影響
RansomHouseのリークサイトには日本組織が3件確認されています。アジア全体での被害が増加傾向にあることから、今後さらに国内への浸透が懸念される状況です。
QilinとRansomHouseの特徴比較
2つのグループを整理して比較します。
| 項目 | Qilin | RansomHouse |
|---|---|---|
| 活動開始 | 2022年中頃(旧称: Agenda) | 2023年 |
| 推定拠点 | 不明 | ロシア・旧ソ連圏(推定) |
| 主要標的 | 製造業・小売業 | ヘルスケア・製造・重要インフラ |
| 対応OS | Linux・ESXi・Windows | Linux・ESXi・Windows |
| RaaSモデル | あり(アフィリエイトポータル) | ハイブリッド型RaaS(選別制) |
| 特徴的な機能 | 弁護士コンタクト機能 | 選別アフィリエイト制 |
| 日本被害件数 | 複数件(製造業中心) | 3件確認 |
| 主な侵入手口 | ブルートフォース・Webシェル | 既知脆弱性(Citrix・Palo Alto等) |
共通点として「ESXi狙い」「二重恐喝」「RaaSモデル」の3つが挙げられます。どちらのグループも「技術的に洗練された犯罪組織」として機能しており、対策の方向性は大きく変わりません。
攻撃の流れを理解する(キルチェーン分析)
両グループの攻撃は概ね同じ流れをたどります。この流れを「サイバーキルチェーン」として理解しておくと、どの段階でどの防御策が有効かが見えてきます。
ステップ1: 初期侵入(Initial Access)
侵入の糸口として最も多いのが以下の3つです。
・VPN・リモートアクセス機器の脆弱性: Citrix NetScaler、Palo Alto GlobalProtect等の未パッチの脆弱性
・ブルートフォース攻撃: VPNやRDPのパスワードを総当たりで試す
・フィッシングメール: 悪意ある添付ファイルやリンクを含むメールで初期足がかりを確立
ステップ2: 内部偵察・ラテラルムーブメント
侵入後、攻撃者はネットワーク内を横移動して重要システムを探します。
・Mimikatz: メモリから認証情報を抽出し、他のシステムへの認証に使用
・Cobalt Strike: C2(コマンド&コントロール)サーバーと通信しながら、侵害範囲を広げる
・Webシェル設置: Webサーバーにバックドアを仕込み、後からいつでも再侵入できる状態を作る
この段階では、攻撃者はまだ「静かに動いている」状態です。EDR(エンドポイント検知・応答)やSIEM(セキュリティ情報・イベント管理)がなければ、侵入されていることに気づきません。
ステップ3: データ窃取(二重恐喝の準備)
重要なファイル・データベース・メールアーカイブを特定し、外部サーバーへ送信します。この段階で「支払いを拒否すればデータを公開する」という脅しの材料が揃います。
7-Zipを使ってデータを圧縮・暗号化しながら送出するため、通常のDLPツールだけでは検知が難しいケースもあります。
ステップ4: バックアップ破壊・暗号化実行
データ窃取が完了したタイミングで、バックアップを消去・暗号化してから身代金要求ファイルを展開します。バックアップが破壊されるため、「バックアップから復旧」という選択肢が消えます。
情シス担当者が今すぐ実施すべき対策
大企業向けの高額なソリューションでなくても、情シス1人体制の企業でも実践できる対策があります。優先度の高いものから順に整理しました。
優先度:高 — 侵入口を塞ぐ
① VPN・リモートアクセス機器のパッチ適用を最優先に
Citrix NetScaler、Palo Alto GlobalProtect、Fortigate等のパッチ適用は「後回し禁止」です。これらは攻撃者の最初の侵入口として最も多く悪用されています。ベンダーのセキュリティアドバイザリを購読し、Critical/Highの脆弱性は72時間以内に対処する体制を作りましょう。
② 多要素認証(MFA)の全面導入
VPN、RDP、メール(Microsoft 365・Google Workspace等)すべてにMFAを有効化します。認証情報が漏洩していても、MFAがあれば侵入を防げるケースが多くあります。コストをかけずに実施できる、費用対効果が最も高い対策の一つです。
③ RDPを外部公開しない
インターネットに直接RDP(3389番ポート)を公開している場合は即座に塞いでください。VPN越しのみにアクセスを制限するか、不要であれば無効化します。
優先度:中 — 侵入後の被害を最小化する
④ ネットワークセグメンテーション
業務システムと管理系ネットワーク(ESXiホスト等)を論理的に分離します。ファイアウォールやVLANを使い、攻撃者が侵入してもラテラルムーブメントできる範囲を限定します。
⑤ 特権アカウントの管理
ドメイン管理者権限を持つアカウントの数を最小限に絞ります。日常業務に管理者権限を使わない(最小権限の原則)のが基本です。Mimikatzは管理者権限のアカウントが多いほど被害が拡大します。
⑥ EDRの導入(または既存AVの次世代化)
従来のウイルス対策ソフト(シグネチャベース)ではCobalt Strikeやカスタムマルウェアは検知しにくい状況です。振る舞い検知・メモリスキャンができるEDRの導入を検討してください。中小企業向けのリーズナブルなEDRも増えています。
優先度:中 — バックアップを守る
⑦ オフライン・オフサイトバックアップの確保
ランサムウェアはネットワーク接続されているバックアップを優先的に破壊します。「3-2-1ルール(3コピー・2種類のメディア・1つはオフサイト)」に従い、少なくとも1つはネットワーク非接続の状態でバックアップを保管します。
・3コピー: 本番データ + バックアップ2つ
・2種類のメディア: 例)外付けHDD + クラウドストレージ
・1つはオフサイト: 物理的に別の場所(クラウドやテープの保管場所)に保管
⑧ バックアップの復旧テスト(年2回以上)
バックアップがあっても「実際に復旧できるか」を確認していない企業が多くあります。年2回以上、実際に復旧手順を実施するテストを行ってください。
優先度:低 — 検知・対応力の向上
⑨ ログの一元集約(SIEM)
VPN・Active Directory・ファイルサーバー・Webサーバーのログを一元集約すると、異常なアカウント操作や大量のファイルアクセス(窃取時の動き)を早期に検知できます。コストを抑えるならオープンソースのWazuhやElastic SIEMから始める選択肢もあります。
⑩ インシデント対応手順書の整備
「いざ感染したときに誰が何をするか」を事前に決めておくことで、パニック状態での誤った意思決定を防げます。最低限、「感染端末の隔離手順」「経営層への報告ライン」「外部相談窓口(IPAや専門ベンダー)の連絡先」は文書化しておきましょう。
よくある誤解と注意点
誤解1:「身代金を払えばデータが返ってくる」
身代金を支払っても、必ずしも復号鍵が送られてくるわけではありません。一部のグループは「支払い確認後も再度要求を繰り返す」「送られた復号ツールが壊れていて復旧できない」という事例があります。また、支払うことで「払ってくれる企業」というリストに載る可能性があります。法執行機関も身代金支払いを推奨していません。
誤解2:「中小企業は狙われない」
Qilinのアフィリエイトが日本の製造業を狙った事例でも分かるように、中小企業は「セキュリティが弱い」という理由で積極的に狙われています。大企業のサプライチェーンの一部であれば、大企業への侵入口として利用されるリスクもあります。
誤解3:「Windowsだけ守れば十分」
QilinもRansomHouseも、LinuxサーバーとESXiを標的にしています。Windowsのエンドポイント対策だけを強化しても、ESXiホストへのアクセスが無防備であれば意味をなしません。インフラ全体を俯瞰した対策が必要です。
誤解4:「最新のウイルス対策ソフトがあれば安全」
Cobalt StrikeはペネトレーションテストツールをRaaSが流用したものです。正規ツールを悪用しているため、シグネチャベースのウイルス対策では検知できないケースがあります。振る舞い検知(Behavioral Detection)を備えたEDRが必要な理由はここにあります。
脅威インテリジェンスの活用と情報収集
グループの動向を継続的に把握するための無料情報源を紹介します。
・IPA 情報セキュリティ安心相談窓口: https://www.ipa.go.jp/security/anshin/ — 国内インシデントの注意喚起
・JPCERT/CC: https://www.jpcert.or.jp/ — 国内外のサイバーインシデント情報
・CISA(米国サイバーセキュリティ・インフラセキュリティ庁): KEV(既知悪用脆弱性カタログ) — 実際に攻撃で使われている脆弱性一覧
・OSINT Threat Intel(英語): Recorded FutureやUnit 42等のセキュリティベンダーのブログで脅威アクターの詳細レポートが公開されています
特にCISAのKEV(Known Exploited Vulnerabilities Catalog)は、実際に攻撃者が悪用している脆弱性を一覧化したものです。このリストに掲載されている脆弱性は「理論上の危険」ではなく「現在進行形で使われている危険」なので、パッチ適用の優先順位付けに活用できます。
本記事のまとめ
QilinとRansomHouseは、日本企業への被害が確認されている現実の脅威です。2つのグループに共通する特徴をまとめます。
| 脅威の特徴 | 推奨対策 | 優先度 |
|---|---|---|
| VPN脆弱性からの初期侵入 | パッチ適用の徹底(72時間以内) | 高 |
| ブルートフォース攻撃 | MFA全面導入 + アカウントロックアウト設定 | 高 |
| Cobalt Strikeによるラテラルムーブメント | EDR導入 + ネットワークセグメンテーション | 中 |
| ESXiホストの暗号化 | 管理ネットワークの分離 + 定期パッチ | 中 |
| バックアップの同時破壊 | 3-2-1ルール + 復旧テスト | 中 |
| 二重恐喝によるデータ公開 | DLP + 重要データの所在把握 | 低 |
「完全に防げる対策」は存在しません。しかし「侵入されにくくする」「侵入されても被害を最小化する」「早期に検知できる」という3層の防御を積み重ねることで、攻撃者にとって「コストに見合わないターゲット」になれます。
攻撃者は効率を重視します。対策が十分な企業は「もっと弱いターゲットを探す」動機を攻撃者に与えます。情シス1人でも今日からできる対策から、一つずつ積み上げていきましょう。
ランサムウェアグループの手口、最新情報をキャッチしていますか?
脅威アクターの手口は日々進化しています。「知っている」と「実践できている」の差が、被害に遭うかどうかを分けます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント